¿Qué es VPN Gateway?

VPN Gateway es un tipo específico de puerta de enlace de red virtual que se usa para enviar tráfico cifrado entre una red virtual de Azure y una ubicación local a través de la red pública de Internet. También puede usar una instancia de VPN Gateway para enviar tráfico cifrado entre las redes virtuales de Azure a través de la red de Microsoft. Cada red virtual solo puede tener una instancia de VPN Gateway. Sin embargo, puede crear varias conexiones a la misma instancia. Al crear varias conexiones a la misma instancia de VPN Gateway, todos los túneles VPN comparten el ancho de banda disponible de la puerta de enlace.

¿Qué es una puerta de enlace de red virtual?

Una puerta de enlace de red virtual se compone de dos o más máquinas virtuales que se implementan en una subred específica llamada subred de la puerta de enlace. Las máquinas virtuales de puerta de enlace de red virtual contienen tablas de enrutamiento y ejecutan servicios específicos de puerta de enlace. Estas máquinas virtuales se crean al generar la puerta de enlace de red virtual. No se pueden configurar directamente las máquinas virtuales que forman parte de la puerta de enlace de red virtual.

Al configurar una puerta de enlace de red virtual, se configura un valor que especifica el tipo de puerta de enlace. El tipo de puerta de enlace especifica cómo se utilizará la puerta de enlace de red virtual y las acciones que realiza la puerta de enlace. El tipo de puerta de enlace "Vpn" especifica que el tipo de puerta de enlace de red virtual creado es una "puerta de enlace de VPN". Esto lo distingue de una puerta de enlace de ExpressRoute, que usa un tipo de puerta de enlace diferente. Una red virtual puede tener dos puertas de enlace de red virtual, una puerta de enlace de VPN y una puerta de enlace de ExpressRoute. Para más información, consulte Tipos de puerta de enlace.

La creación de una puerta de enlace suele tardar 45 minutos o más, según la SKU de la puerta de enlace seleccionada. Al crear una puerta de enlace de red virtual, las máquinas virtuales de puerta de enlace se implementan en la subred de puerta de enlace y se configuran con las opciones que especifique. Después de crear una instancia de VPN Gateway, puede crear una conexión de túnel de VPN de IPsec o IKE entre esa instancia y otra instancia de VPN Gateway (de red virtual a red virtual), o crear una conexión de túnel de VPN de IPsec o IKE con implementaciones locales entre la instancia de VPN Gateway y un dispositivo VPN local (de sitio a sitio). También puede crear una conexión VPN de punto a sitio (VPN a través de OpenVPN, IKEv2 o SSTP) que le permite conectarse a la red virtual desde una ubicación remota como, por ejemplo, una sala de conferencias o desde su casa.

Configuración de una instancia de VPN Gateway

Una conexión de puerta de enlace de VPN se basa en varios recursos con una configuración específica. La mayoría de los recursos puede configurarse por separado, aunque en algunos casos es necesario seguir un orden determinado.

Diseño

Es importante saber que hay distintas configuraciones disponibles para las conexiones de VPN Gateway. Es preciso determinar qué configuración es la que mejor se adapta a sus necesidades. Por ejemplo, las conexiones de punto a sitio, de sitio a sitio y de ExpressRoute o de sitio a sitio coexistentes tienen instrucciones y requisitos de configuración diferentes. Para obtener información sobre el diseño y para ver los diagramas de topología de conexión, consulte Diseño.

Tabla de planeación

La tabla siguiente puede ayudarle a decidir la mejor opción de conectividad para su solución.

De punto a sitio De sitio a sitio ExpressRoute
Servicios de Azure compatibles Cloud Services y Virtual Machines Cloud Services y Virtual Machines Lista de servicios
Anchos de banda típicos Se basa en la SKU de puerta de enlace Agregación típica de < 1 Gbps 50 Mbps, 100 Mbps, 200 Mbps, 500 Mbps, 1 Gbps, 2 Gbps, 5 Gbps, 10 Gbps
Protocolos admitidos Protocolo de túnel de sockets seguros (SSTP), OpenVPN e IPsec IPsec Conexión directa a través de redes VLAN y tecnologías VPN de NSP (MPLS, VPLS...)
Enrutamiento RouteBased (dinámico) Admitimos elementos basados en directivas (enrutamiento estático) y basados en enrutamiento (VPN de enrutamiento dinámico) BGP
Resistencia de la conexión activa-pasiva activa-pasiva o activa-activa activa-activa
Caso de uso típico Acceso seguro a redes virtuales de Azure para usuarios remotos Escenarios de laboratorio, pruebas o desarrollo y cargas de trabajo de producción a pequeña y mediana escala para Cloud Services y Virtual Machines Acceso a todos los servicios de Azure (lista validada), cargas de trabajo críticas y empresariales, copias de seguridad, macrodatos, Azure como sitio de recuperación ante desastres
Acuerdo de Nivel de Servicio Acuerdo de Nivel de Servicio Acuerdo de Nivel de Servicio Acuerdo de Nivel de Servicio
Precios Precios Precios Precios
Documentación técnica Documentación de VPN Gateway Documentación de VPN Gateway Documentación de ExpressRoute
P+F Preguntas más frecuentes sobre VPN Gateway Preguntas más frecuentes sobre VPN Gateway Preguntas frecuentes sobre ExpressRoute

Configuración

La configuración que ha elegido para cada recurso es fundamental para crear una conexión correcta. Para más información sobre los recursos individuales y la configuración de VPN Gateway, consulte Acerca de la configuración de VPN Gateway. El artículo contiene información que le ayudará a entender los tipos de puerta de enlace, de SKU de puerta de enlace, de VPN y de conexión, así como las subredes de puerta de enlace, las puertas de enlace de red local y otras configuraciones de recursos que pueden interesarle.

Herramientas de implementación

Puede empezar a crear y configurar recursos mediante una herramienta de configuración, como el portal de Azure. Más adelante puede decidir cambiar a otra herramienta, como PowerShell, para configurar recursos adicionales o para modificar los existentes cuando sea aplicable. Actualmente, no se pueden configurar todos los recursos ni establecer todas las configuraciones de recurso en Azure Portal. Las instrucciones de los artículos para cada topología de configuración indican cuándo se necesita una herramienta de configuración específica.

SKU de puerta de enlace

Al crear una puerta de enlace de red virtual, hay que especificar la SKU de la puerta de enlace que desea usar. Seleccione las SKU que cumplan sus requisitos en función de los tipos de cargas de trabajo, rendimientos, características y Acuerdos de Nivel de Servicio.

SKU de puerta de enlace por túnel, conexión y rendimiento

Generación
de
VPN Gateway
SKU Túneles
S2S/entre redes virtuales
Conexiones P2S
SSTP
Conexiones P2S
IKEv2/OpenVPN
Pruebas comparativas de rendimiento
agregado
BGP Con redundancia de zona
Generación 1 Basic Máx. 10 Máx. 128 No compatible 100 Mbps No compatible No
Generación 1 VpnGw1 Máx. 30* Máx. 128 Máx. 250 650 Mbps Compatible No
Generación 1 VpnGw2 Máx. 30* Máx. 128 Máx. 500 1 Gbps Compatible No
Generación 1 VpnGw3 Máx. 30* Máx. 128 Máx. 1000 1,25 Gbps Compatible No
Generación 1 VpnGw1AZ Máx. 30* Máx. 128 Máx. 250 650 Mbps Compatible
Generación 1 VpnGw2AZ Máx. 30* Máx. 128 Máx. 500 1 Gbps Compatible
Generación 1 VpnGw3AZ Máx. 30* Máx. 128 Máx. 1000 1,25 Gbps Compatible
Generación 2 VpnGw2 Máx. 30* Máx. 128 Máx. 500 1,25 Gbps Compatible No
Generación 2 VpnGw3 Máx. 30* Máx. 128 Máx. 1000 2,5 Gbps Compatible No
Generación 2 VpnGw4 Máx. 30* Máx. 128 Máx. 5000 5 Gbps Compatible No
Generación 2 VpnGw5 Máx. 30* Máx. 128 Máx. 10000 10 Gbps Compatible No
Generación 2 VpnGw2AZ Máx. 30* Máx. 128 Máx. 500 1,25 Gbps Compatible
Generación 2 VpnGw3AZ Máx. 30* Máx. 128 Máx. 1000 2,5 Gbps Compatible
Generación 2 VpnGw4AZ Máx. 30* Máx. 128 Máx. 5000 5 Gbps Compatible
Generación 2 VpnGw5AZ Máx. 30* Máx. 128 Máx. 10000 10 Gbps Compatible

(*) Use una red WAN virtual si necesita más de 30 túneles VPN S2S.

  • Se permite el cambio de tamaño de las SKU de VpnGw en la misma generación, excepto el cambio de tamaño de la SKU básica. La SKU básica es una SKU heredada y tiene limitaciones de características. Para pasar de una SKU básica a otra SKU de VpnGw, debe eliminar la instancia de VPN Gateway de la SKU básica y crear una nueva puerta de enlace con la combinación de generación y tamaño de SKU deseada. Solo puede cambiar el tamaño de una puerta de enlace básica a otra SKU heredada (consulte Trabajo con SKU heredadas).

  • Estos límites de conexión son independientes. Por ejemplo, en una SKU de VpnGw1 puede tener 128 conexiones SSTP, además de 250 conexiones IKEv2.

  • Puede encontrar más información sobre los precios en la página de precios.

  • La información del SLA (contrato de nivel de servicio) puede encontrarse en la página SLA.

  • En un único túnel, se puede lograr un rendimiento máximo de 1 Gbps. Las pruebas comparativas de rendimiento agregado de la tabla anterior se basan en las mediciones de varios túneles agregados a través de una sola puerta de enlace. El banco de pruebas de rendimiento agregado para una puerta de enlace de VPN es la combinación de S2S + P2S. Si tiene una gran cantidad de conexiones P2S, puede afectar negativamente a una conexión S2S debido a las limitaciones del rendimiento. Las pruebas comparativas de rendimiento agregado no es un rendimiento garantizado debido a las condiciones del tráfico de Internet y a los comportamientos de las aplicaciones.

Para ayudar a nuestros clientes a comprender el rendimiento relativo de las SKU mediante distintos algoritmos, usamos las herramientas iPerf y CTSTraffic disponibles públicamente para medir los rendimientos. En la tabla siguiente se enumeran los resultados de las pruebas de rendimiento de las SKU de VpnGw de la generación 1. Como puede ver, el mejor rendimiento se obtiene cuando usamos el algoritmo GCMAES256 para el cifrado y la integridad IPsec. Obtuvimos un rendimiento medio al usar AES256 para el cifrado IPsec y SHA256 para la integridad. Cuando usamos DES3 para el cifrado IPsec y SHA256 para la integridad, obtuvimos el rendimiento más bajo.

Generación SKU Algoritmos
usados
Rendimiento
observado
Paquetes por segundo por
túnel observado
Generación 1 VpnGw1 GCMAES256
AES256 y SHA256
DES3 y SHA256
650 Mbps
500 Mbps
120 Mbps
58 000
50.000
50.000
Generación 1 VpnGw2 GCMAES256
AES256 y SHA256
DES3 y SHA256
1 Gbps
500 Mbps
120 Mbps
90 000
80 000
55 000
Generación 1 VpnGw3 GCMAES256
AES256 y SHA256
DES3 y SHA256
1,25 Gbps
550 Mbps
120 Mbps
105 000
90 000
60 000
Generación 1 VpnGw1AZ GCMAES256
AES256 y SHA256
DES3 y SHA256
650 Mbps
500 Mbps
120 Mbps
58 000
50.000
50.000
Generación 1 VpnGw2AZ GCMAES256
AES256 y SHA256
DES3 y SHA256
1 Gbps
500 Mbps
120 Mbps
90 000
80 000
55 000
Generación 1 VpnGw3AZ GCMAES256
AES256 y SHA256
DES3 y SHA256
1,25 Gbps
550 Mbps
120 Mbps
105 000
90 000
60 000

Zonas de disponibilidad

Las puertas de enlace de VPN se pueden implementar en Azure Availability Zones. Esto aporta una mayor disponibilidad, escalabilidad y resistencia a las puertas de enlace de red virtual. Implementar puertas de enlace en Azure Availability Zones separa de forma física y lógica las puertas de enlace dentro de una región, y protege la conectividad de red local en Azure de errores de nivel de zona. Consulte Acerca de las puertas de enlace de red virtual con redundancia de zona en Azure Availability Zones.

Precios

Se paga por dos cosas: los costos de proceso por horas de la puerta de enlace de red virtual y la transferencia de datos de salida de esta. Puede encontrar más información sobre los precios en la página de precios. Para los precios de SKU de puerta de enlace heredada, consulte la página de precios de ExpressRoute y vaya a la sección Puertas de enlace de red virtual.

Costos del proceso de puerta de enlace de red virtual
Cada puerta de enlace de red virtual tiene un costo de proceso por horas. El precio se basa en la SKU de la puerta de enlace que especifique al crear una puerta de enlace de red virtual. El costo es para la puerta de enlace en sí y se agrega a la transferencia de datos que pasa a través de la puerta de enlace. El costo de una configuración activa-activa es igual que el de activa-pasiva.

Costos de la transferencia de datos
Los costos de transferencia de datos se calculan en función del tráfico de salida de la puerta de enlace de red virtual de origen.

  • Si va a enviar tráfico al dispositivo VPN local, se le cobrará por la tasa de transferencia de datos de salida de Internet.
  • Si va a enviar tráfico entre redes virtuales que se encuentren en diferentes regiones, el precio dependerá de la región.
  • Si va a enviar tráfico solo entre redes virtuales que están en la misma región, no habrá ningún costo por datos. El tráfico entre redes virtuales de la misma región es gratuito.

Para más información acerca de las SKU de puerta de enlace para VPN Gateway, consulte SKU de puerta de enlace.

P+F

Para conocer las preguntas más frecuentes acerca de VPN Gateway, consulte Preguntas más frecuentes sobre VPN Gateway.

Novedades

Suscríbase a la fuente RSS y vea las actualizaciones más recientes de las características de VPN Gateway en la página Actualizaciones de Azure.

Pasos siguientes